记忆密码总是一件痛苦的事情|通行密钥是如何取代密码的？记忆密码总是一件痛苦的事情

记忆密码总是一件痛苦的事情，对于绝大多数不使用密码管理器的人来说「一个密码走天下」是密码问题上最容易的解决方案了。但一个密码到处用总会带来各式各样的安全问题，比如：这个密码因为其他问题导致了外泄，那么所有的账户都会受到威胁。

文章图片
密码这件事一定会让不少人头疼，图源：1Password
为了解决这个情况，日常登录网站和应用程序要你两步验证，比如SMS短信验证码、邮箱验证码或是基于时间的一次性密钥等方式加强安全性。从我们日常使用来看，等验证码这个步骤反而可能是整个登陆流程里最麻烦的一件事。

文章图片
两步认证
Apple在WWDC2022中向开发者介绍了「通行密钥（Passkeys）」这项新的「希望可以替代密码」的新技术，并期望通过这项新技术来解决上面的问题。

文章图片
看到这里，你可能会担心这项Apple的新技术可能别的互联网公司并不会参与。但事实上通行密钥是通用技术标准WebAuthn下的一个关键技术，不仅可以简化登录的流程，还可以提高安全性和增加跨设备授权登录的功能。只不过Apple在今年WWDC上高调地宣布了而已，微软、Google等大公司也已经宣布将支持这项FIDOStandard技术标准。
那通行密钥是如何替代密码进行身份验证的，通行密钥能完全取代你的密码吗？本篇文章就来带领大家一探究竟。
▍通行密钥是如何工作的？
目前完整支持通行密钥的应用程序还不多，但我们可以从WWDC后续面向开发者的视频中窥探到通行密钥的使用方式。登录界面中只需要用户提供用户名（Username）这一信息，然后点击登录按钮，最后完成生物认证便能完成登录。使用通行密钥整个过程，就和我们目前使用iCloud钥匙串或是支持自动填充的密码管理器一样自然、直观。

文章图片
使用通行密钥登录账户
在传统登录环节中由短信验证码、两步验证器所扮演的身份验证功能，也将由通行密钥代劳；尽管通行密钥和登录密码的功能存在差异，但在整个注册和登录的过程中无需我们主动创建、记忆或输入密码。这种一键登录、几乎不会增加学习和使用成本的身份验证机制，显然也要比我们现阶段主要使用的大部分身份验证方式更加无感。

文章图片
使用自动密码填充登录账户01用非对称加密证明「你是你」
不过通行密钥并不是什么新鲜的玩意，它其实是密码学中「非对称加密」在登录认证中的一种应用。
单个通行密钥由一对密钥组成，分别是公钥（Publickey）和私钥（Privatekey）。
我们可以把公钥类比于带「防盗」锁的传统信箱，把私钥类比于信箱的锁的钥匙。邮递员投递的信件就是我们要加密的信息，通过投递到信箱中加密起来，然后也只有信箱的主人才有钥匙能够打开信箱读取信件的内容。如果一个人手上没有钥匙，那就需要用暴力开防盗锁，整个过程不仅耗时耗力，最后也往往没办法打开那把防盗锁。
与之对应的，如果某些内容被公钥加密了，则该内容能且仅能被私钥解密，非对称加密的可靠性正来源于此——若无私钥，在有限的算力和有限的时间内我们一般无法完成极大整数的因数分解；如果加密内容能被解密，则说明对方拥有私钥。